2020年,是不平凡的一年,纵观全球,新冠疫情肆虐、经济贸易制裁、国家力量较量……让人应接不暇,同时又有一丝忧心忡忡。不知未来局势走向,甚至对自己的工作生活都产生了一丝迷茫与紧张。
好在,我国及时控制住了疫情,并且,令人瞩目的2020年两会也顺利召开并落下帷幕。
一直以来,两会往往是一年政治、经济、社会等走势的风向标,很多人能够从其中,读出许多耐人寻味的信息。比如网络安全,也有着许多信息藏在众多提案之中,在一定程度上也决定着未来网络安全的政策导向与发展走势。
自2014年始,习近平总书记对网络安全发表重要讲话后,网络安全开始上升到了前所未有的高度。习总书记以下两段讲话,可谓至今言犹在耳,振聋发聩。
“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。”
“没有网络安全就没有国家安全,没有信息化就没有现代化……建设网络强国的战略部署要与‘两个一百年’奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。”
故而,自2015年起,两会上关于网络安全的提案越来越多。
在此,我们不妨简单回顾一下,近五年来两会都有哪些关于网络安全的提案。或许能够从中看出网络安全的发展脉络与趋势。
2015年
【建立网安体系并自主可控】提案建议:建立一个全面的网络安全体系,在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度,使我国的安全产业形成良好的生态环境。进行全方位审查,保证信息安全自主可控;划分关键基础设施、敏感部门、政府机构范围;在关键基础设施、敏感部门、政府机构中规范采购行为。建立完整标准,避免数据的泄露;政府应多鼓励引导厂商和企业的合作,建立良好的环境,形成安全体。
2016年
【构建移动互联网生态安全体系】提案建议:全面构建我国移动互联网生态安全体系,建议“大力推进,重点打击,多位一体,共同治理”。
【加强网络空间安全建设】提案建议:提高公众网络安全意识,加大对网站和移动客户端的建设和管理,在省级层面建立定期评估机制。加强日常管理评估监测,让监测常态化。在技术层面上,充分利用云技术,关注云平台的发展,对网站实现集中化管理。对信息安全的重要环节开展安全防护工作,在实际工况中开展示范、试点,逐步完善技术方案。
2017年
【个人信息与大数据安全】提案建议:设立跨部门的个人信息保护机构,统筹个人信息保护的预防、监管、违法责任追究等职责,更加有效地保护个人信息。用强化政府管理与加大打击力度等“四个并行”措施解决信息安全问题;建议加快制定数据安全法律法规和配套标准,为数据打造安全屏障,发展高质量数字经济。
【智慧城市信息安全】提案建议:转变智慧城市安全建设思想,由同步建设转为安全先行;明确智慧城市网络安全监管主体和责任;正确处理智慧城市与信息安全发展关系;确保智慧城市数据安全保护;制定物联网安全技术方向;鼓励智慧城市关键技术引进和创新。
2018年
【大力培育网安人才】提案建议:大力支持网络安全企业设立相关教育培训机构;开展网络安全学科联合建设;把网络安全纳入职业技能鉴定体系。
【漏洞管理与政企网安】提案建议:一是要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;二是强制执行重要信息系统上线前漏洞检测,尽量在源头上堵住漏洞。出台鼓励网络攻击事件上报的相关政策;规范网络攻击事件上报流程;加大对知情不报企业查处惩戒力度;鼓励政企单位选用网络安全企业专业服务。
【军工与涉密及工业物联网安全】提案建议:推进工业控制系统的安全防护技术在军工行业的应用,建立工业控制系统信息安全管理机制;全面提高涉密信息系统、非涉密信息系统和工业控制系统安全保密风险实际防控能力。明确国家、地方及行业的工业互联网信息安全监督主体和责任;建议制定工业互联网安全新技术研究方向,开展工业互联网信息安全技术创新实验室和示范基地的建设。
2019年
【人工智能与物联网安全】提案建议:将国家级网络安全大脑列为国家重大工程专项。可运用新型举国体制,建议由国家相关部门牵头,协调网信、工信、公安、科技等部门和单位,组织国企、民企、科研院所等广泛参与。安全应该成为人工智能发展的基础与前提;国家支持尽快建设国家级网络安全人工智能开放创新平台,确保人工智能健康有序发展。智能汽车加装安全联网模块,加强汽车控制安全保护,在汽车上市前进行网络安全测评;建立厂商安全运营平台,及时发现和阻断黑客攻击。
【确保工业互联网安全】提案建议:在重要工业城市加快推进国家网络安全产业基地建设;完善从国家到地方的风险监测体系,明确数据在采集、加工、使用、存储中相关方的权利、义务、责任。
【数据安全与网安治理】提案建议:加快制定数据安全法律法规、安全保护配套标准,确保数据安全;要确立数据主权,明确数据安全法的管辖范围;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。建立个人信息保护制度。加强政府与网络安全企业的合作;从战略层面进行网络安全的体系化和层次化设计;要制定积极的网络安全产业发展政策,政府及国有企业采购中增加网络安全产品和服务采购比例,提振产业空间;加大网络安全预算;积极探索通过国家监察体系对网络安全责任制的落实实施监督审查,形成深度问责机制。
2020年两会期间,网络安全一如既往依然是备受关注的热点话题,各界大佬、企业家纷纷建言献策,相关内容涵盖“网络安全”、“信息安全”、“物联网安全”、“工业互联网安全”、“人工智能安全”、“数据安全”等方方面面。
吾观各家公众号梳理网络安全相关议案,大多并不全面,为免沧海遗珠之憾,同时也能让关注网络安全的朋友看到更全面的网安提案,故而搜罗各方资料,加以编辑归类整合,以飨诸君。
下面,2020年两会诸多网安提案建议,便让我们一睹为快。
出台数字经济“安全基建”的国家标准。建议有关部门尽快组织关于“安全基建”标准的调研,广泛了解企业在实践中积累且行之有效的做法,结合新一代信息通信技术发展情况,为构建完整的安全基础设施提供参考。要引导不同社会主体在转型数字化伊始就具备风险防御意识和能力,进而确保数字基建运行在较高的安全水平之上。
加快推进“安全基建”的立法工作。建议在由12部委联合发布的《网络安全审查办法》基础上,通过立法在更大范围内确保数字基础设施的供应链安全,明确数字基础设施的安全操作规范,并对不同应用场景提出不同的规范要求,从源头上降低网络安全风险。
进一步加强“安全基建”的能力建设。 “一刀切的安全套装”已经远远不能满足当前数字基建的安全需求。建议在网络安全等领域加强资源整合,把在不同领域、不同行业领先的安全能力变成国家网络安全能力体系的重要组成部分,总结在数字化浪潮中先行企业的经验,提高各行各业的“安全基建”能力。
尽早构建新基建网络安全防护体系:一是要运用整体思维,规划新基建网络安全防护体系顶层设计;二是要同步建设新基建的安全基础设施,聚焦新基建安全防能力构建;三是要强化大数据平台安全,实现安全的大数据协同计算;四是要开展常态化网络安全攻防对抗演习,持续检验和提升新基建安全能力。
尽快制定《国家5G安全战略》:作为新一代的数字基础设施,5G在赋能发展的同时也将引发新的网络安全风险,其安全性具有基础性和全局性意义。应当从战略高度审视5G网络安全的重大意义和紧迫性,加强5G安全的顶层设计,制定《国家5G安全战略》。
加快推进工业互联网安全保障:工业互联网是新基建最大的应用场景之一。保障新基建安全应重点“盯防”工业互联网的安全。加快推进工业互联网安全保障建设,为国家实体经济和社会保驾护航。
加强信创网络安全保障能力建设:信息技术创新应用作为我国信息技术领域打造自主创新生态的国家战略举措,也是新基建的重要抓手。未来3到5年,信创产品和解决方案将在更多领域规模化推广应用。其安全问题将面临前所未有的挑战,要强化信创安全体系顶层设计、统筹构建安全保障体系。
我国大数据战略实施已处于持续深化阶段,在数据安全立法方面,“数据安全法”虽已列入了立法规划,但目前尚未完成制定。因此,应加快制定“中华人民共和国数据安全法”,完善我国数据治理,加快推动数字经济发展。
建议:细化数据安全与隐私保护规则,保护公民合法权益;明确数据的权利归属,促进数据的确权、流通、交易和保护;建立数据合理使用制度,实现个人与数据使用者之间的利益平衡;建立公共数据开放共享规则,促进公共数据的合理利用;完整确立我国数据跨境流动制度,应对国际数据竞争。
马化腾提出《关于加快制定产业互联网国家战略壮大数字经济的建议》。其中包括:加强顶层设计,制定系统推进产业互联网发展的国家战略;加快推进云计算等新基建,筑牢数字经济发展的战略基石;以“数据中台”建设为重点和突破口,进一步推动数据开放共享,提高数字化治理水平;持续推进开源协同创新生态,打造产业互联网“朋友圈”,提升科研创新数字化水平,同时加大产业安全投入。
此外,更完善的网络信息安全体系是数字经济的高质量发展的基础,要加大安全人才培养、核心技术突破、安全生态协同,充分发挥网络信息安全在数字经济建设中的核心保障价值,建设以产业为中心的、原生的、主动规划为特征的新型“产业安全”体系。
针对新冠肺炎疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。
我国交通运输发展迎来重大历史机遇期,人工智能、5G等新技术正在成为拉动智能交通发展的新引擎。对此,国家应加强政策引导,鼓励各地政府加大探索和投入,一方面加强探索城市智能交通运营商模式,鼓励有条件的地区先行先试,另一方面则要加快交通路网车路协同智能化改造。除此之外,还要建设全国性的新一代智能交通治理平台,加快形成安全可靠的现代化交通治理体系。
一、推动人工智能赋能工业互联网安全发展
工业互联网中工业技术与信息技术深度交叉融合,其中很多网络安全问题是OT网络与IT网络相融合所带来的。应当引导激励成立多方参与的联合实验室,构建工业场景的仿真环境以助力网络安全问题的发现(如工控系统漏洞挖掘)及对网络安全技术有效性的验证;培养具备多元知识技能的复合型人才,促进技术融合创新探索。
工业互联网面临的安全威胁多,受攻击面广,且涉及的数据规模大,现有安全防御体系难以应对。同时,由于工业互联网直接影响生产,应避免采用扫描探测、渗透测试等主动式技术手段,而更适合基于网络流量分析的被动式漏洞自动挖掘、恶意代码检测及异常行为发现等。
人工智能技术对此可发挥极大助力,例如鼓励相关数据共享供研究使用、设立实验试点项目开展真实环境部署测试等,以及引导激励人工智能赋能工业互联网安全技术自主学习演进、对抗提升的研究,设立研究项目课题推进产学研合作攻关其中的关键技术问题等。
二、推进智能车联网安全风险评估:
1. 建议相关单位启动或加快完成包括智能网联汽车信息安全通用技术、车载网关、车载娱乐系统、车载信息交互系统、汽车远程管理与服务、智能网联汽车云平台等涉及智能网联汽车和智能网联汽车重要部件、车路协同系统、智能车联网络系统的信息安全标准制定;
2. 建议在《机动车运行安全技术条件》中增加信息安全要求,明确智能网联汽车、车辆辅助驾驶系统的信息安全风险评估要求和信息系统与数据安全要求;
3. 建议要求对含有电子系统、尤其是具有操作系统的智能网联汽车重要零部件进行销售前进行信息安全检测;
4. 建议包括无人试验车、无人出租车、低小慢速智能设备等智能网联车和含有辅助驾驶功能传统汽车、新能源汽车的在投入使用前必须进行全面的信息安全风险评估。评估内容建议至少包括车载总线系统(CAN总线系统)、车载核心交互系统(T-BOX系统)、车载电子娱乐系统(IVI系统)、车载智能天线、车载无线系统、车路协同系统、车-云交互系统、云端车辆服务系统(V2X系统)等;
5. 建议要求针对无人试验车、无人出租车、低小慢速智能设备、电动车等智能网联车建立常态化的信息安全检测和评估机制。建议要求包括在车载电子系统或软件出现重大版本变更或升级、云端服务系统出现重大版本变更或升级、恶意代码或病毒爆发、车辆开始投入使用前、车辆年检等情况下必须进行信息安全评估;
6. 建议对全国在建或已建成的各无人车、智能网联汽车、低小慢速智能设备的示范区及封闭型试验区进行智能车联网络风险评估,并形成常态化评估机制;
7. 建议针对目前国内市场上所有的国外进口整车型号,根据《中华人民共和国网络安全法》和《个人隐私保护条例》等法律条例进行全面信息安全风险评估,并根据法律要求将云端车辆服务系统迁移至中国境内,以防止我国公民个人隐私信息的泄漏。
网络安全正在由过去的“辅助性”功能变成数字基础设施的重要一环,数字基建在建设伊始就要考虑安全体系的同步构建,从被动防控向主动防御转变。
因此,建议由国家互联网信息办公室牵头,联合工业和信息化部、公安部等有关部门,联动数字化程度较高的上游企业以及对安全体系、技术有深度研究的国立科研院所参与,产学研用全面结合,构建完整的安全基础设施。
1.加强工业互联网安全技术手段建设。出台工业互联网安全政策,提升安全行动力;加大国家资金投入,加快安全技术手段建设;多措并举强化产业支撑,推动完善产业生态;
2.推动人工智能赋能工业互联网安全发展。引导成立联合实验室促进技术研究与复合型人才培养;促进人工智能赋能工业互联网安全实践落地;推动人工智能赋能工业互联网安全可持续自适应演进。
加速完善《网络安全法》等相关配套法律、法规;明确数据在法律上的权利归属;制定统一的数据跨境实施规则和白名单;探索建立对境外主体实施的侵害我国国家层面数据保护的“长臂管辖”制度。
伴随互联网的高速发展及物联网、工业互联网、云计算、大数据等新兴领域和新兴技术的快速崛起,数据安全不仅面临数据窃取、篡改与伪造等传统威胁,同时也存在日益增多的数据滥用、个人信息与隐私泄露等新问题,加快制定数据安全法已刻不容缓。
提出确立数据主权、明确数据安全法的管辖范围,对数据经营进行牌照化管理,建立数据采集、加工和利用业务的准入制度,完善数据安全监管体系和数据安全监测预警、应急处置机制,建立责任主体问责制度等一系列建议。
“数据安全法”要细化数据安全与隐私保护规则,保护公民合法权益;明确数据的权利归属,促进数据的确权、流通、交易和保护;要建立数据合理使用制度,实现个人与数据使用者之间的利益平衡;要建立公共数据开放共享规则,促进公共数据的合理利用;要完整确立中国数据跨境流动制度,应对国际数据竞争。
随着新技术的迅猛发展,大数据时代已然来临,个人信息使用不断膨胀和扩散,保障个人信息安全迫在眉睫。殷兴山建议,加快立法进程;设立专门监管机构;确立运营主体运营规范;赋予信息主体自我保护权力。
一、加快立法进程。通过专门立法,统一对公私领域的个人信息保护,明确运营主体收集、使用个人信息的原则、程序和保密、保护义务,不当使用、保护不力的法律责任以及监管部门的监督手段和处罚措施等;
二、设立专门监管机构。建议在立法中明确专门机构负责或牵头负责个人信息保护工作,建立统一的制度规范,有权监督运营主体,并对违规行为进行处理;
三、确立运营主体运营规范。比如,要明确运营主体必须依法采集、使用、保管个人信息,有明确正当的目的,符合“最少、必需”要求,并经过信息主体明示同意;要加强从业人员管理,制定信息收集、处理、传输、公开、使用规则,做好流程监控,一旦发生信息泄露事件,严格追究相关人员责任。同时将技术防护纳入法律规范,推动运营主体加大技术防护投入;
四、赋予信息主体自我保护权力。比如,明确“信息自决权”,信息主体有权决定是否告知或允许他人利用自己的信息,建立“知情同意”制度,只有信息主体知情同意,运营主体方可采集、保管、使用个人信息;赋予“被遗忘权”,借鉴欧盟《通用数据保护条例》,信息主体行使“被遗忘权”时,运营主体不仅要删除自己所掌握的信息,还要对公开传播的信息负责,有义务通知其他人停止利用并删除。
要把“新基建”做好,特别重要的一个关键词就是网络安全,因为“新基建”大量是属于信息领域的基础设施建设,如果网络安全方面做得不够,一定是达不到要求,网络安全是重中之重。
网络安全不再是事后应对的问题,仅靠原来的卖盒子、防火墙的方法论,显然无法解决新基建带来的新挑战,要将网络安全措施与新基建同步部署,而不是出了问题再打补丁。
网络安全取决于新技术带来的新的安全问题,“新基建”带来新技术,就必然伴生新的安全问题。
提高我国网络安全应急处置能力,应当积极将新基建成果应用到网络安全领域中,借助新基建构建的平台和基础,进一步降低网络安全关键技术、设备的依赖性,不断推进网络安全产业的进化演变。
以总体国家安全观为指引,充分考虑网络安全作为最典型的非传统安全的规律特点,在加强网络安全防御公共基础设施建设和提升政企机构网络安全防护能力的同时,完善重大社会风险协同研判指挥机制;建立政企结合的网络安全应急与战备人员组织机制;建立网络安全技术装备和战备物资分级战略储备和运维机制。建议相关部委在机制流程预算等方面予以专项保障,形成实战化演训体系,确保体系、人员和装备始终保持高水平实战化能力。
一、强化数据安全专业立法和专项执法。他建议要强化《个人信息保护法》和《数据安全法》两部法律强化与其他相关法律和标准的协同,明确国家数据主权、企业数据权益、公民数据权利等基础性法律问题。同时,针对数据黑色产业链、平台过度垄断用户数据等突出问题,在《网络安全法》等法律框架下,开展专项持续性执法,全面扭转数据犯罪和数据侵权的势头;
二、积极开展数据和人工智能安全国际规则对接。围绕“一带一路”等国家建立数据安全流动的“朋友圈”,试点建立具有数据安全国际标准的全球数据港或离岸数据中心。同时,探索建立人工智能等前沿技术数据安全评估机制,增强数据安全预警和溯源能力;
三、加大扶持做大做强网络安全产业和建立适应人工智能发展的数据流通体系。谈剑锋表示,要瞄准数据驱动人工智能创新发展的新特点,开展国家数据安全治理,推动数据资源的规范采集、安全存储、有序流通和依法开放。
建立拥有自主知识产权的地理信息系统。长期以来,我国在很多地方还使用着国外的地理信息软件或二次开发的系统。这些软件、系统在国防军事、国民经济建设的安全等方面都存在着一些漏洞。政府高度重视那些自主可控的地理信息系统,给予大力支持,进一步提升和完善,这对国家的长期发展、长治久安意义重大。
一、加快推进制定《数据安全法》,界定数据合理使用的边界。在有效保护数据的基础上,通过对数据的合理使用,推动国家大数据发展,让民众享受大数据时代的红利;
二、在数据保护立法中设立域外适用条款,为国家数据主权保驾护航。既要为打击境外不法分子针对我国的数据犯罪行为提供执法依据,同时还要维护我国的数据主权;
三、强化数据资产交易管理,在全国范围内培育健康的数据交易市场。为数据资产的流通提供安全可靠、高效活跃的交易平台;
四、建立数据保护官制度,完善企业数据保护组织机构。通过数据保护官制度提升企业依法合规经营水平,培养员工数据资产保护的职业素养;
五、加大对侵害数据安全行为的打击力度,设立信息审判专门机构。建议设立专门性的信息审判法庭,就数据侵权、数据犯罪等行为进行专项审判,以实现司法资源的高效利用。六是加强对全国民众的普法宣传,营造数据保护的氛围。加强全民对数据权利内容和维权渠道的认识,推进国家大数据战略,加快建设数字中国。
建议政府部门应在加强快递企业内部信息运营监管的同时,加大力度推进快递企业使用隐私面单技术,从而为每一份附在快递上“奔走”的个人信息套上一件“防护服”。同时,加强对个人信息保护的宣传,强化公众的个人信息安全保护意识。
建议以“新基建”为抓手,从国家层面顶层设计,统一规划区块链系统基础设施的投资建设,供各部门直接采用,从源头杜绝“孤岛”的产生。同时,推动区块链标准制定,推动立法完善,实现“国家政务公链”提供分级分类共享服务,加强底层技术和共享技术的研究,掌握核心技术。
顶层设计入手,成立国家级制造业信息共享平台。建设制造业平台,更要提升数据治理和安全防护能力。加强信息安全,保护制造业“智力资产”。制造业数据不仅能反映企业经营状况,还能直接反映行业整体运行情况,至关重要。
因此建设制造业平台,更要提升数据治理和安全防护能力。建议从国家层面出发,与信息安全领域的企业开展深度合作,为制造业筑起重要安全支点,更好地助力产业繁荣。
一、建议中央网信办、公安部、司法部等部门,推动全国人大采取实地调研等方法,加快大数据及个人信息保护立法调研,重点针对贵州等大数据试验区地方立法及实践情况深度调研,推动解决个人信息的釆集主体、数据权利、使用范围、退出条件等立法具体问题,必要时就研究较为充分的问题先行立法;
二、加快《信息安全技术个人信息安全规范》等规范和标准文件制定,为监管部门将被动执法转变为主动执法提供基本的依据和标准,与之配套发挥效能的行政法规和规章也应当及时跟进,切实增强公权力干预的有效性和规范性;
三、建议将此类侵权案件纳入公益诉讼范围,建立公益诉讼和自力诉讼相结合的诉讼制度,加强私权的制约力量;
四、建议各级执法机关应当主动健全执法规章,加强主动监管力度,从立法、执法环节全面建立常态化的信息报告、抽查、普查以及重点企业调查制度,及时核查信息采集、保存、使用等行为的合规性。
出台工业互联网安全政策,提升安全行动力;加大国家资金投入,加快安全技术手段建设;多措并举强化产业支撑,推动完善产业生态。
互联网用户信息安全,需要技术和管理综合施策。立法保护数据安全和个人信息,是目前的当务之急,也是未来网络化智慧社会健康发展的保证。
建议重视从源头构建安全能力的安全建设理念。网络安全不是事后应对的问题,而是事前提高“免疫力”的问题,要在广大企事业单位加强网络安全的教育和宣传,设定安全研发生产的红线。在数字基建的初始,就同步构建安全基础设施、提升风险免疫能力。
在机制设置上,需要从强调“个人的知情许可”向“让信息处理者承担责任”方向转变,建立“谁使用谁负责”的“使用者责任”机制,以责任压力来强化使用者的个人信息保护意识。
同时,通过建立相应配套制度,确立“违法必有责”、“侵权必追责”的制度环境:第一,在追责机制上,建立数据侵权的过错推定责任,由侵权人证明自己没有过错,如果证明不了的,则推定其有过错,从而减轻被侵权人的举证责任;第二,采取由数据控制者与处理者承担连带侵权责任的方法,促使各方主体审慎处理和利用数据;第三,设立违法行为“处罚公示”制度,将违法企业计入“违法行为黑名单”,以有效遏制侵犯个人信息的违法行为。
参考资料
《盘点两会十二个网络安全热点》 源自公众号“安全牛”
《2020两会安全声 | 众代表委员纷纷在提案、议案中建言“网络安全”》 源自公众号“中国信息安全”
Cismag:《专题|历届“两会”网络安全提案精华梳理》 源自公众号“信息安全与通信保密杂志社”
综合“中国新闻网”、“人民网”、“北京日报”等媒体报道
推荐阅读
儿童节,说说“儿童劫”
齐心抗疫 与你同在 
纳闻 | 真实新闻与评述:盘点 | 2020年两会网络安全相关议案大全
前往“发现”-“看一看”浏览“朋友”